ARP病毒攻击

关键词： 识别 地址 IP地址 协议

ARP病毒攻击（精选十篇）

ARP病毒攻击 篇1

在局域网中，一台主机与另一台主机进行通信时，必须知道目标主机的IP地址，而计算机的物理设备不能识别IP地址，只能识别其硬件地址—MAC地址，目标MAC地址是通过ARP协议获得的。ARP是“Address Resolution Protocol”(地址解析协议)的缩写，所谓“地址解析”就是主机在发送数据包前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行[1]。

2 ARP欺骗原理及现象

2.1 基本原理

ARP欺骗攻击是基于ARP协议的工作特性的，其通过向对方计算机不断发送欺诈性的ARP数据包，数据包内包含有与当前设备重复的MAC地址，导致对方在回应报文时，因地址重复错误而不能进行正常的网络通信。这种攻击是利用ARP请求报文进行欺骗的，所以普通的防火墙会误以为是正常的请求数据包，不予拦截，而使计算机遭受攻击。

ARP欺骗可分为两种：一种是对路由器ARP表的欺骗，原理是截获网关数据。其通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，导致路由器的所有数据只能发送错误的MAC地址，造成正常PC无法收到信息。另一种是对内网PC的网关欺骗，其原理是伪造网关。通过建立假网关，让被它欺骗的PC向假网关发送数据，造成网络不通。

2.2 主要现象

遭受ARP欺骗攻击，一般情况下会出现以下症状：局域网经常掉线或者大面积断网，浏览器频繁出错，以及一些常用软件故障等。若局域网中是通过身份认证上网的，会突然出现可通过认证，但不能上网的现象，重启计算机或在MS-DOS窗口下运行arp-d命令后，又可恢复上网一段时间。另外，ARP木马病毒只需成功感染一台计算机，就可能导致整个局域网都无法上网，严重的甚至可能导致整个网络的瘫痪[3]。该病毒发作时除了会导致同一局域网内的用户上网时断时续外，还会窃取用户密码。如：盗取各种网络游戏账号、密码，盗窃网上银行账号等，造成信息资源和经济资源的损失。

3 防范ARP攻击的策略

3.1 中毒主机的定位

面对ARP病毒的攻击，首先要查找出中毒的主机，然后再进行杀毒处理。通常有三种方法。

(1）提示符命令法

当局域网遭受ARP欺骗时，中毒主机会向全网不停地发送ARP欺骗广播，局域网中的其它主机就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒主机的MAC地址。这时只要在其它受影响的主机中查询一下当前网关的MAC地址，就可确定中毒主机。在MS-DOS命令提示符中输入arp-a命令，假设某主机的IP地址为192.168.6.1,MAC地址为AA-AA-AA-AA-AA-AA，会显示：

由于这个主机的ARP表是错误的记录，因此，该MAC地址并不是真正网关的MAC地址，而是中毒主机的MAC地址。这时，再与实际的IP-MAC地址对照表进行对照，即可找到中毒主机的IP地址(可在网络正常时，使用nbtscan工具对全网段主机的IP地址和MAC地址进行扫描，保存备用)。

(2）工具定位法

目前有很多ARP病毒定位工具，Anti ARP Sniffer(即ARP防火墙)是其中比较出色的工具之一。使用Anti ARP Sniffer工具定位ARP中毒主机的方法是：启动Anti ARP Sniffer软件，先输入网关的IP地址，再单击“枚举MAC”按钮，即可获得正确网关的MAC地址。然后单击“自动保护”按钮，即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时，该数据包会被记录并报警。这时，再根据欺骗机的MAC地址，与全网的IP-MAC地址对照表进行对照，即可快速定位中毒主机[2]。

(3）抓包嗅探法

当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包。这时，流量检测机制可以很好地检测出网络中的异常举动。可使用如Ethereal这样的抓包工具，进行中毒主机的检测定位。

通常，上述几种方法综合使用，可以更快更准地查找出ARP病毒的中毒主机。

3.2 ARP病毒的清除

当确定中毒主机后，应立即拔掉中毒主机的网线，中断其继续发包干扰全网的运行。随后，可利用杀毒软件杀毒。但由于现在病毒变种极其繁多，有时杀毒软件可能查不出来，这时需要借助手动杀毒。某些类型的ARP病毒运行特征比较隐蔽，电脑中毒时并无明显异常现象，这类病毒运行时自身无进程，通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项不是常规的Run键值加载，也不是服务加载，而是通过注册表的AppInit_DLLs键值加载实现开机自动启动的。这时，利用如Autoruns的工具软件即可快速扫描出病毒文件，然后先清除注册表中的相关键值，重启计算机，在安全模式下手动删除文件。

3.3 ARP攻击的防范措施

对于ARP攻击不能坐以待毙，必须积极预防，在计算机还没遭到ARP攻击前，必须采取有效手段，主动抵御其攻击。

(1）双向绑定法

静态绑定IP和MAC地址是最常用的方法，即在网内把每台主机和网关都做IP和MAC绑定。ARP欺骗是通过ARP动态实时规则欺骗内网机器的，所以把ARP全部设置为静态的，即可解决对内网PC的欺骗，同时在网关也进行IP和MAC的静态绑定，通过双向绑定提高保险系数。例如：某主机的IP地址为192.168.6.1,MAC地址为AA-AA-AA-AA-AA-AA。在未被绑定的情况下是动态的，通过arp-a命令可查看到以下信息：

在MS-DOS命令提示符中输入：“arp-s 192.168.6.1AA-AA-AA-AA-AA-AA”，即可实现绑定。设置成功后，可再通过arp-a命令查看到以下信息：

需要注意的是，静态绑定在计算机重启后会失效，需要重新绑定。

(2）软件法

ARP的防护软件、防火墙比较多，如：欣向ARP工具，Antiarp等。其防护的工作原理是以一定的频率向网络广播正确的ARP信息。现在很多国内软件厂商，如：江民、金山、瑞星、奇虎都推出了相应的防火墙，可以用来预防ARP的局域网攻击。

(3）路由器法

这种方法就是使用具有ARP防护功能的路由器，其原理是定期发送自己正确的ARP信息，以维持网络稳定运行。但路由器的这种功能不能解决真正意义上的攻击，若出现攻击性ARP欺骗，即在短时间内出现大量的ARP欺骗，不断地发送ARP欺骗包来阻止内网机器上网，则使路由器不断广播的正确包被其大量错误信息淹没。而在网络中，不可能浪费和占用大量的资源专门去处理这些广播信息，这样会严重影响网络速度[4]。

(4）定期检查ARP缓存

定期检查ARP缓存是必不可少的预防措施。定期从响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。定期轮询，检查主机上的ARP缓存，使用防火墙连续监控网络。

4 应注意的几个问题

在遭受到ARP攻击中毒后，可以通过一些技术手段来清除病毒和恢复数据，但有时会出现泄密或丢失数据的情况，本质上的预防要从自身做起，加强网络安全意识，随时保证网络的安全。主要应注意做好五个方面：一是使用正版软件，不安装非法或不明来源软件。二是及时更新操作系统补丁、安装正版杀毒软件并及时更新病毒库。三是不主动通过网络攻击别人，发现自己中病毒后主动和网络隔离，避免扩散，感染其他用户。四是不随便接收、打开或运行陌生、可疑文件和程序，如邮件中的陌生附件等。五是不随便访问不明、不健康的网站。

参考文献

[1]胡健伟.网络安全与保密[M].西安:西安电子科技大学出版社,2003-01.

[2]刘先省,张连堂.计算机常用工具软件及应用[M].北京:机械工业出版社,2008-07.

[3]王达.网络第1课—计算机与网络安全[M].北京:电子工业出版社,2008-01.

ARP病毒攻击 篇2

付正林

随着社会的发展，信息技术对教育教学的影响越来越广，越来越多的学校与教师对网络依赖也越来越大；而对中小学校园内局域要求也是一天比一天高。但现在ARP病毒攻击成为局域网杀手，造成校园网络无法正常使用。ARP病毒攻击，以成各中小学校网络管理员公认为最头痛的事。而各中小学网络管理员如何面对ARP病毒攻击呢？

ARP与ARP病毒简介

ARP全称：Address Resolution Protocol 地址解析协议。ARP的作用：实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。（物理地址即网络中的MAC地址，也就是全世界所有网卡中的唯一标识代码）

ARP病毒：就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP病毒攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马病毒，则感染该ARP木马病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

遭受ARP攻击后现象：ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等，不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网，严重者跟本无法正常连接网络。

应对中小学校园网内ARP病毒攻击的思考

现在各中小学普遍存在ARP病毒攻击的原因有如下几个方面：第一网络安全设备配置不齐全，使校园内网络结构比较简单；第二中小学的网络管理员绝大部分是电脑教师兼职，专业水平与发展方向出现偏差；第三使用者——教师使用电脑与网络的不正确或者说不规范，比如在不在安全的网站下载文件、使用U盘或者移动硬盘传输文件与在网上浏览不正规的网站等；第四忽视对应该服务系统的有效管理与建设，这与学校经费或者上经领导重视或管理者水平有关。第五网络技术与病毒更新太快，管理员的学习跟不上发展速度，加强网络管理员的相关业务学习很重要。

现在流行的维护方法：静态绑定、Antiarp和具有ARP防护功能的路由器。但这只是针对网络与使用设置的一种应对措施，相对中小学小而全的校园网而言，还远远不够。我们应全面考虑各种因素，多管齐下来应对ARP病毒攻击问题。第一：从病毒来原入手，第二从病毒攻击方式考虑，第三对使用者——教师的电脑与网络使用的相关培训，第四网络管理者专业水平的提高，第五学校的重视。

应对ARP病毒攻击的具体措施

从全局角度来思考：教育信息化实现的基础是网络正常运行，各种信息化的教育教学活动没有网络的正常运行再好的东西也无法使用。如无纸化办公（OA系统）、教学资源库、家校通、广港校际在线交流（视像中国）、远程集体备课、学生电子书包、电子课堂等。各种现代化信息教育教学都运行在良好的网络环境之上，网络与现代信息化教育教学活动的基础。所以学校必需重视才行，不然何谈教育信息化。学校的重视也有利于网络管理员的工作，如加大网络基础的投入、与部门的工作配合、参加各种有利于业务水平提高的培训与交流活动等。争取学校的重视，是网络工作是有力保证。争取学校的重视，首先要把自己的本职工作做好，做好了本职工作是领导重视的前提。其次是做好网络工作计划，一个合理的计划能更有利于我们开展工作，也能更好地获得所有管理者与参与者支持。然后整理好工作中遇到的问题和教师的使用意见，是向学校提供决策的重要参考意见。

从网络技术角度来解决：技术方面首先是病毒来源着手，ARP病毒一般都与木马病毒共存，病毒来源有三个方面，第一是因特网，第二是U盘或移动硬盘等移动式存储器，第三是网内原有电脑上本身就存有。应对因特网上的木马或者病毒，我们一定要加装防火墙，做好相关策略。设置防火墙的技术策略这里不详讲，因为各种不同的防火墙有不能的命令与解决方法。应该对内部病毒，我们应该先组织一次全面的清理活动，在最大可能减少内部病毒的出现，然后加装相关的杀毒软件与单机防火墙。应该移动存储器内的病毒主要是加强使用者的防范意识，经常查杀自己移动存储器，每天使用时都必须检查病毒后再使用。

然后从ARP病毒攻击原理来处理，第一静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定，使ARP无法欺骗。第二内网分段，根据各区域与功能相关不同使用者，划分不同的VLin。这样就算网内有机器感染了ARP病毒，也不会迅速传播到整个局域网，让管理员有足够的时间与空间来处理。第三，有条件的学校可以做到终端交换机端口划分与绑定，在这不多言。第四，核心交换机上，利用交换机的统计功能，对某一MAC地址一定时间内对网关请求数过大（如每分钟大于90次），即断开这台电脑的网络。这是因为现在绝大部分中小学网络管理员都是兼职，不可能经常在监视网络运行情况；这样在网络管理员不在的情况下，可以在一定程度上保证网络正常运行。第五，每天定时认真查看路由器、防火墙、上网行为管理设备、核心交换机等关键网络设置记录，了解网络运行情况。第六，使用Sniffer等网络工具定时扫描网络内部情况，并认真分析异常情况，提前发现问题并解决问题。

最后从应用角度来防范，第一，使用并有效管理好公共服务器系统，特别是文件服务器、资源库服务器、BBS服务器等流量比较大，利用率比较高的服务器。这些公共服务系统可以减少老师对移动存储器的使用，更能相对较少地减少老师在使用外网时中毒的机率。这些重要服务器应该划分单独的VLin,并做好相关的安全策略，能安全服务器杀毒软件是最好的。专业的网络管理员提出的服务器不应该装杀毒，也是有道理的，但现在中小学里的网络管理员并不是非常专业的网络技术管理员，也不能时刻监视网络情况与服务器系统情况，我们都是业余级的。第二，当发现网内有机器感染了ARP病毒，最简单的方法是：先断该机器的网络连接，最好是物理中断；然后保存好该机器内重要数据，然后在干净的网络环境下清理所有数据，并重装系统等相关工作；同时对机器使用者进行解释说明与相关宣传工作。在干净的网络环境这点很重要，可以避免机器二次感染。

从自身角度来提高：时代是发展的。网络信息技术的发展更是以超出人们想象的速度在发展。培训与学习更是应对各种网络问题的重中之重。技术培训分二部分，第一是网络管理员的业务水平技术培训与学习。第二是网络使用者的电脑与网络应用技巧的校本培训。对于学校来说，应该创造条件，让网络管理员不断参加各种网络技术相关的培训学习班或者研讨会；网络管理员也要通过各种途径来学习各种新技术，了解技术的展情况。比如网上的技术论坛上参与讨论与学习：中国网管论坛（http://bbs.bitscn.com/）、网络管理员（http://bbs.krshadow.com/forum-20-1.html）、51TCO技术论坛（http://bbs.51cto.com/forum-143-1.html）等。网络管理员也应该经常在学校内部进行电脑与网络应用的相关校本培训，提高使用者的应该水平与防病毒能力；同时经常与不同应用能力的使用者之间进行小范围的研讨工作，深入一线使用者中，去了解各种使用者的应用情况。把学校校园网比做一个人的话，提高网络管理者与应用都自身水平，就是像是提高人的身体素质一样，是应对病毒攻击最好的办法。

应对ARP病毒攻击，从学校指导思想层、校园网络管理层、网络应用层来发展问题并解决问题，才是应对ARP病毒攻击基本。做好这三者之间的工作，应对ARP病毒攻击就能轻松自如。

ARP病毒攻击 篇3

关键词：ARP；MAC；IP；VLAN

ARP 是“Address Resolution Protocol”的缩写，它是TCP/IP协议中用来解析网络节点地址的底层协议。

MAC 它是固化在网卡上串行EEPROM中的物理地址，通常有48位长。

IP IP是“Internet Protocol Address”的缩写，是互联网中每一台主机惟一的地址，是该主机在Internet上的唯一标志。它是一串4组由圆点分割的数字组成的，其中每一组数字都在0－256之间，如：0－255．0－255．0－255．0－255．0－255。

VLAN 是“Virtual Local Area Network”的缩写，即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

一、局域网安全防范ARP病毒攻击的方法有以下几种

（一）局域网内主机防范ARP病毒的方法

1.在客户端使用arp命令绑定网关的真实MAC地址

如果已经有网关的正确MAC地址，可手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC。

2.修改系统拒收ICMP重定向报文

（1）在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。

（2）在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

（3）安装单机版防火墙，如天网、瑞星等等，可修改防火墙设置来拒绝接收icmp重定向报文。

3.安装ARP防火墙，如360安全卫士的ARP防火墙等等

其主要功能有：

（1）拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包，保障本机ARP缓存表的正确性。

（2）拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包，避免本机感染ARP病毒后成为攻击源。

（3）拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包，避免本机因IP冲突造成掉线等。

（4）主动防御。主动向网关通告本机正确的MAC地址，保障网关不受ARP欺骗影响。

（二）网络管理层防范ARP病毒的方法

1.选择具有Super VLAN或PVLAN技术的网络设备管理网络

所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中划出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口划为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。

PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个（下层）VLAN，则实现了所有端口的隔离。

PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。两者都可以达到避免ARP欺骗的效果。

2.在局域网主机上IP+MAC绑定，网络设备上IP+MAC+端口绑定

在Win 98/me、win 2000/xp等系统中，打上ARP补丁， 使用arp –s命令设置IP+MAC绑定，实现静态ARP，不要让主机刷新你设定好的转换表。

在网络设备上做IP+MAC+端口绑定，这样当同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关时，网络设备可从（物理）端口处拒绝ARP欺骗报文的流入。

对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙，支持arp协议规则自定义。

3.选择带有ARP防火墙功能的网络交换机或路由器。

二、快速定位局域网内ARP病毒主机

（一）MS-DOS命令行方法

在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的MAC地址，将其记录下来。

将记录下来的网关MAC地址与正确的网关MAC地址相比较，可以看出当前电脑的ARP表是错误的，因此该MAC地址不是真正网关的MAC地址，而是攻击者的MAC地址，

注意：这种情况仅在网关的MAC地址已被更改时使用。此时的故障现象是局域网内部所有主机都不能上网，但网络连接显示正常。如果想立即解决上网的问题，可先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a命令，可查看正确的网关MAC地址。

（二）网络设备端

查看网络设备的ARP缓存列表，判断异常的物理MAC地址。

由上表可以看出，物理地址为000d.609e.67e6的电脑主机在不断的变化自己的IP地址，并不断的向网内发包，可以断定这台电脑就是ARP病毒主机。

（三）通过工具软件定位ARP病毒主机

1.Anti ARP Sniffer软件

Anti ARP Sniffer是一款小巧的防ARP攻击的软件，通过他的抓包追捕功能，可以快速的定位ARP病毒主机。

2.Ethereal抓包软件

Ethereal是免费的网络协议检测程序，支持Unix和Windows操作系统。让您经由程序抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。通过其抓包功能，可以快速定位病毒感染主机。

三、查杀局域网内ARP病毒的方法

（一）网络设备端

在通过以上定位局域网内ARP病毒主机方法确定ARP病毒主机的MAC地址后，可使用DOS命令将此设备的端口关闭，若病毒主机MAC地址为0015.58e7.2d91，可如下图操作：

注：因为网络内部通过定位病毒主机的方法确定的MAC地址，此地址可能是一台电脑，也可能是一台网络交换机，所以要根据情况操作。另外因网络条件的不同，有许多接入层交换机无管理地址或无管理功能，所以也要根据实际情况处理病毒主机。

（二）局域网内ARP病毒主机的彻底查杀

第一步：

1.进入安全模式

2.打开WINDOWSSYSTEM32下找到NPPTOOLS.DLL文件 。 因为WINDOWS發ARP包要用到NPPTOOLS文件。

3.双击,打开方式选记事本.

4.全选记事本内的字符(看起来象乱码~_~)，删除并保存它.这时NPPTOOLS.DLL文件应该是0字节.

5.在NPPTOOLS上点右键,选中只读,再点安全选项卡，把里边所有用户改成拒绝.(XP可能有的没有安全选项卡,这时要打开一个文件夹,点工具-文件夹选项-查看-使用简单文件共享的勾去掉

第二步：

1.进入“MS-DOS”；

2.输入ARP –s 10.78.135.131 00-EO-4C-4E-4B-8F ；（绑定网关IP+MAC）

（三）使用ARP guard杀毒软件，彻底清除ARP病毒，可快速恢复网络主机的通讯。

（四）使用网上发布的ARP病毒专杀工具对机器进行查杀。

ARP病毒攻击分析与防御 篇4

1 工作原理

1.1 ARP协议

ARP协议即地址解析协议,通过该协议,只要知道了某台机器的IP地址,即可以知道其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。在局域网中,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。

1.2 原理分析

1.2.1 概述

在每台安装网卡的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。

以主机A(192.168.0.10)向主机B(192.168.0.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.0.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.0.2的MAC地址是00-14-78-0a-a3-eh”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。主机每隔一定时间或者每当收到ARP应答,都会用新的地址映射记录对ARP缓存进行更新,以保证自己拥有最新的地址解析缓存。

1.2.2 缺陷

由上文所述ARP工作原理来看,似乎局域网应该很安全。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中主机全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么就很危险了,非法攻击者就是利用这一缺陷来进行攻击的。例如在数据发送中,当主机B(IP地址为192.168.0.2)向全网询问“我想知道IP地址为192.168.0.3的主机的硬件地址是多少?”后,主机C(IP地址为192.168.0.3)也回应了自己的正确MAC地址MAC_C。但是此时,攻击者主机D回答:“我的IP地址是192.168.0.3,我的硬件地址是MAC_D”,注意,此时它竟然冒充自己是C主机的IP地址,而MAC地址竟然写成自己的!由于主机D不停地发送这样的应答数据包,本来主机B的ARP缓存表中已经保存了正确的记录:192.168.0.3-MAC_C,但是由于主机D的不停应答,这时主机B并不知道主机D发送的数据包是伪造的,导致主机B又重新动态更新自身的ARP缓存表,这回记录成:192.168.0.3-MAC_D,很显然,这是一个错误的记录(这步也叫ARP缓存表中毒),这样就导致以后凡是主机B要发送给C主机,也就是IP地址为192.168.0.3这台主机的数据,都将会发送给MAC地址为MAC_D的主机,这样,主机D劫持了由主机B发送给主机C的数据。这就是ARP欺骗的过程。

2 攻击方式

ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸、切断局域网上主机的网络连接等。

2.1 IP地址冲突

制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于Windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包符不符合要求,只要该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同,Windows系统就会弹出IP地址冲突的警告对话框。根据IP地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:

(1)单播型的IP地址冲突

链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。

(2)广播型的IP地址冲突

链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。

2.2 ARP泛洪攻击

攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含:

(1)通过不断发送伪造的ARP广播数据报使得交换机忙于处理广播数据报耗尽网络带宽。

(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。

(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为。

2.3 溢出攻击

ARP溢出攻击的特征主要有:

(1)所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址但MAC地址是固定的,由于当操作系统接收到一个源IP地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。

(2)所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。

2.4 欺骗攻击

2.4.1 拒绝服务攻击

拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致目标主机产生拒绝服务。

2.4.2 中间人攻击

中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。

2.4.3 多主机欺骗

篡改被攻击主机群中关于网络内某一台主机X的ARP记录,被攻击的主机群为网络中的多台主机而非一台主机。主机X为网关或网络内任何一台非网关的正在运行主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻,主机A关于主机X的ARP记录被篡改;

T+N时刻,主机B关于主机X的ARP记录被篡改;

……

T+M时刻,主机Z关于主机X的ARP记录被篡改;

例如当攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包,以自身MAC地址来冒充真正的网关,使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAC地址,导致受骗主机群向假网关发送通信信息,而不是通过路由器或交换途径寻找真正的网关并发送通信信息。这时攻击主机可以把自己设置成一台路由器负责对数据包转发,从而达到仿冒网关的目的。这是一种比较常见的欺骗形式,这种欺骗方式可以控制同一网关下的所有主机对网络的访问。网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP攻击。

2.4.4 全子网轮询欺骗

篡改被攻击主机X中关于网络内多台主机的ARP记录,这台被攻击的主机为网关或网络内任何一台非网关的主机,被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻,主机X关于主机A的ARP记录被篡改;

T+N时刻,主机X关于主机B的ARP记录被篡改;

……

T+M时刻,主机X关于主机Z的ARP记录被篡改;

2.4.5 网络监听

攻击主机利用上述多主机欺骗来仿冒网关,利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录,从而实现对局域网内所有主机同外部网的通信进行监听。实现了在交换式网络环境中对网络通信的监听。

2.4.6 ARP扫描攻击

向局域网内的所有主机发送ARP请求,从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址。从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。

2.4.7 虚拟主机攻击

通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析,若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源,使得正常运行的主机发生IP地址冲突,并且局域网内的主机也无法正常获得IP地址。

3 病毒防御

3.1 双向绑定法

由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是“双向绑定法”。

双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。客户机中的设置方法如下:

新建记事本,输入如下命令:arp–d(清空当前的ARP缓存表)

Arp–s 192.168.0.1 00-14-78-0a-a3-ef(将正确网关的IP地址和MAC地址绑定起来)

将这个批处理文件放到系统的启动目录中,可以实现每次开机自运行,这一步叫做“固化arp表”。

3.2 Super VLAN或PVLAN技术

Super VLAN也叫VLAN聚合,这种技术在同一个子网中划出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合,所有的子网都使用Super VLAN的默认网关IP地址,不同的子网仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。

PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。

3.3 DHCP服务器

建立DHCP服务器,另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

3.4 网关监听网络安全

网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警。第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配,或者ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警。

3.5 控制ARP的攻击

(1)病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。

(2)网吧管理员检查局域网病毒,安装杀毒软件,对机器进行病毒扫描。

(3)给系统安装补丁程序,通过Windows Update安装好系统补丁程序。

(4)给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。

(5)经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其他方法来做到一定的防护。

(6)关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

(7)不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件、外挂程序等。

3.6 其他防御方法

(1)软硬件联合防护

除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品来实现局域网中的ARP病毒免疫,其提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。

(2)防火墙实现ARP终极防御

对动手能力再强的网络工程师,最好的防御ARP攻击的方法通过设置防火墙,使本机只响应网关来的MAC。例如利用Look'n'Stop,配合补丁使用可达到较好的防御效果。

总而言之,随着ARP攻击手段的不断发展和变化,只靠单一的防御方案是不可能完全成功的防御ARP攻击。而且根据不同的网络环境,往往要采取不同的措施。那么只有完全掌握ARP攻击的原理,灵活地应用各种防御方案,才能达到最好的效果。

摘要：随着网络的日益普及化,网络安全成为日益严重的问题,ARP病毒攻击已成为重要的方式。通过对ARP工作原理及工作机制漏洞的分析,阐述ARP不同的攻击方式,并对其相应的攻击采取了不同的防御方案。只有完全掌握ARP攻击的原理,灵活地应用各种防御方案,才能达到最好的效果。

关键词：ARP,攻击方式,防御

参考文献

[1]谢希仁.计算机网络.北京:电子工业出版社,2008.

[2]葛秀慧,田浩,金素梅.计算机网络安全管理.北京:清华大学社,2008.

[3]秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009,(01).

[4]赵春华.ARP欺骗分析、处理及防范[J].金融电子化,2007,(12).

[5]KelvinFu.ARP攻击与防护完全手册.

怎样防止arp攻击 篇5

2、ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

3、ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常，

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

4、防范ARP攻击最好的办法就是安装一款简单强劲的防火墙，例如一款非常有名，并且100%免费的 Comodo 防火墙。见下图：

5、Comodo 防火墙安装非常简单，只需要点击“下一步”即可完成安装，完成安装后，我们还需要对它进行一些配置，点击界面上的“防火墙”按钮，见下图：

6、接下来点击“防火墙行为设置”-“高级设置”，勾选“保护ARP缓存”，见下图：

ARP病毒攻击 篇6

参评软件

360ARP防火墙：通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAc地址不被篡改，解决局域网内ARP攻击问题。

彩影ARP防火墙：可查杀正在对外攻击的ARP病毒，无需升级病毒库特征，有效率非常高。

软件易用性

许多普通用户对ARP病毒到底是什么并没弄清楚，因此ARP防火墙的操作难易程度，决定着用户的选择。

360ARP防火墙：安装“360ARP防火墙beta2版”后需要重启才能运行。打开软件后，选择“开启”选项页，点击界面中的“开启”按钮，即可开启360ARP防火墙防御功能，主动防御各种ARP病毒攻击。

彩影ARP防火墙：运行“彩影ARP防火墙V5.0 beta1”，点击“开始”按钮，软件即可自动检测拦截到由病毒引起的本机对外的ARP攻击。

金山ARP防火墙：“金山ARP防火墙beta”在安装过程中，会暂时断开网络连接。安装完毕后，运行“金山ARP防火墙beta”，在“监控状态”选项页中点击“开启”按钮，即可自动检测拦截ARP病毒攻击。

瑞星ARP防火墙：安装并运行瑞星防火墙2008，点击菜单“设置／详细设置”，打开设置对话框。在左侧边栏中选择“ARP欺骗防御”功能项，勾选“启用ARP欺骗防御”项，软件提供了不少选项，在 “ARP静态规则”中，需要逐一增加所有内网用户的固定(静态)IP到规则表里。

点评

360ARP防火墙、彩影ARP防火墙和金山ARP防火墙的安装与使用都很简单，无需用户进行过多的设置。而瑞星ARP防火墙必须手工开启，特别是设置ARP静态规则肘，需要用户手工一个个地输入内网IP地址，操作起来非常麻烦。

ARP病毒拦截与清除功能

在本次测试中，我们以一款比较常见的ARP攻击软件

金山ARP防火墙：可阻止正在对外攻击的ARP病毒，并通过在系统内核层拦截ARP攻击数据包，可从拦截网络行为人手，防御ARP病毒攻击。

瑞星ARP防火墙：集成在瑞星防火墙中，可通过不断的发送ARP请求，确认网关与主机正确的MAC地址，避免遭爱攻击。“P2P终结者”，模拟本机的病毒攻击测试。

360ARP防火墙：当ARP病毒发起攻击，软件界面中会显示拦截记录(如图1)，并自动弹出拦截对话框。在界面中点击“立即结束本进程”按钮，或者在拦截窗口中点击“结束发送攻击源”按钮，即可将病毒进程结束。ARP病毒进程被结束后，我们可以运行“360安全卫士v3.7”程序进行木马扫描井查杀。

彩影ARP防火墙：彩影ARP防火墙可自动检测拦截到由病毒引起的本机外对的ARP攻击，拦截到攻击后，选择“安全事件”选项页，在其中可查看到病毒攻击的时间与病毒进程名(如图2)。右键点击该信息，在弹出菜单中选择“查杀恶意程序”命令，在对话框中可查看到病毒进程的详细信息，勾选右侧的“终止进程”和“删除文件”项，点击确定按钮，即可清除掉ARP病毒。如果病毒在注册表或系统服务中添加了启动项目，还可勾选“清除注册表启动项”和“清除系统服务启动项”，将病毒启动项目删除掉。

金山ARP防火墙：如果本机上有ARP病毒发起攻击，软件会在系统托盘区弹出拦截提示框。选择“监控日志”选项页，即可查看详细的拦截记录攻击数据信息。但是其中没有病毒的详细进程信息，因此查杀起来比较麻烦。

瑞星ARP防火墙：让人吃惊的是，我们在使用瑞星ARP防火墙保护系统时，进行病毒攻击模拟测试，只是弹出了一个程序访问网络的对话框，而没有任何ARP攻击的提示!对于普通用户来说，没有显示ARP攻击的提示，用户很难判断此程序是否有害!

点评

在ARP病毒的拦截功能方面，360ARP防火墙、彩影ARP防火墙和金山ARP防火墙都及时弹出了ARP攻击提示；而瑞星防火墙表现则难以让人满意。在清除ARP病毒时，彩影ARP防火墙最为方便直观； 360ARP防火墙可以终止ARP病毒进程，但需借助360安全卫士进行查杀；金山ARP防火墙没有显示病毒进程及相关信息，不太方便。

ARP攻击防御能力

针对ARP协议的病毒攻击方式比较多，2007年出现了很多新型ARP欺骗攻击，可劫持网络数据，导致整个局域网中的用户欺骗访问病毒网页，因此ARP防火墙的主动防御功能是否强大，决定着用户的安全。

360ARP防火墙：选择“设置／自动获取并保护网关”项，软件会自动扫描获取网关的IP地址和MAC地址井进行保护；也可以选择“手工设置网关地址”项，输人网关的IP地址及MAC地址(MAC地址可自动获取)。对网关的IP地址与MAc地址全面保护后，结合软件ARP攻击拦截检测功能，整体防护功能比较全面。

彩影ARP防火墙：它的保护功能比较强，在设置对话框中选择“路由”选项，勾选其中的“当检测到来自非可信路由的IP包时启动主动防御”项，以保证IP包均来自网关，防范ARP欺骗攻击。再选择“防御”选项页，将主动防御功能设置为“警戒”，并勾选“智能防御模式，检测到异常时自动启动”项，即可在安全防御ARP病毒攻击的同时，减少防御功能对系统资源的占用。此外，在“攻击拦截”选项页中，还可以拦截本机对外的DDOS攻击、抑制ARP包发送，还可设置为安全模式，阻止一切来源于局域网内其它主机的不安全网络数据交换。

金山ARP防火墙：可手工设置对网关进行保护。在“ARP安全设置”对话框中勾选“实时通知网关”项，可以发送ARP请求，保证网关的可靠性。勾选“启用安全模式”，即可阻止一切来源于局域网内其它主机的不安全网络数据交换，防止其它类型的ARP攻击。

机房防御ARP病毒攻击的策略 篇7

高校教学机房是学校计算机及相关课程实验教学、课程设计、毕业设计及学生自学计算机科学知识、提高计算机操作技能、应用能力的主要场所，教师经常会在计算机机房进行授课，并且根据课程安排需要连接到IN-TERNET上进行实际操作。但是很多时候经常会出现一种情况：学生机不能够连接网络，或者网络时断时续，通过重启路由器，网络又恢复正常，但很快故障又发生了。究竟是什么原因导致出现这种现象呢?作为一名机房的维护人员，笔者经过反复研究和测试，发现这是典型的ARP攻击，或者也称为ARP病毒。下面对机房局域网的ARP病毒欺骗原理和防治方法作简要分析研究。

1 ARP病毒简介

ARP病毒并不是某一种病毒的名称, 而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议, 用于进行把网络地址翻译成MAC地址。通常此类攻击的手段有两种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒, 对电脑用户私密信息的威胁很大。

ARP (Address Resolution Protocol）的中文名称为“地址解析协议”，它的运行方式比较简单，整个过程是由ARP请求（ARP Request）与ARP应答（ARP Reply）两种信息包所组成。网络常识告诉我们，数据链路层在传递信息包时，必须利用数据链路层地址（例如：以太网卡的MAC地址）来识别目标设备;网络层在传递信息包时，必须利用网络层地址（例如：IP地址）来识别目标设备。通俗来说，当我们在网络中利用IP地址传递信息包时，必须要知道目标的MAC地址，这项工作就由ARP完成。

由于ARP的请求信息包为以太网广播信息包，即ARP请求无法通过路由器传送到其他网络。因此，ARP仅能解析同一网络内的MAC地址，无法解析其他网络的MAC地址。

2 ARP病毒欺骗原理

2.1 ARP病毒原理

ARP病毒是一种木马程序，其本质就是利用ARP本身的漏洞进行ARP欺骗，即通过伪造IP＿MAC地址实现ARP欺骗，在网络中产生大量的ARP通信量使网络阻塞，或使信息流向错误的服务器，从而使个人主机无法收到信息。

2.2 ARP病毒的欺骗过程

ARP协议的基础就是信任局域网内所有的用户，也就是说它的假设前提是：局域网中任何一台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为实际上，局域网内并非所有的计算机都能安分守己，往往会有非法者的存在。在实际操作中，由于局域网内部的拓扑结构一般都为总线型，也就是说当A主机发送广播数据包时，除了B主机以外，局域网内的其他主机也会同时收到此数据包，只不过其他主机对该数据包进行了屏蔽，不会作出回应。但如果有一台主机C主动在B主机向A主机发回数据包之前，抢先发回了数据包。由于协议中并没有规定ARP缓存表对接收到的ARP数据包的正确与否进行审查，这时A主机ARP缓存表中B主机的IP、MAC地址就被C主机的地址所假冒。从而导致A主机的数据包被发向C主机，而B主机却没有接收到数据。

通过以上分析可知，ARP工作的原理不需要通过双方互相的验证，仅仅是建立在双方互相信任的基础上，另外映射关系不是持久的，是有存在时间的，而且不会去记忆是否曾经发送过请求报文。因此ARP协议具有动态性、无序性、无记忆性、无安全管理等特性，这也是ARP攻击的基础。

2.3 ARP病毒的欺骗分类

ARP欺骗的分类从影响网络连接通畅的方式来看，可以分为二种：一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗是通过截获网关数据实现的。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常网内主机无法收到信息。第二种ARP欺骗是通过伪造网关实现的。它的原理是建立假网关，让被欺骗的主机向假网关（其实是局域网内一台被感染ARP病毒的普通电脑）发送数据，而不是通过正常的路由器途径上网。由于假网关处理速度和本身不断地在滥发广播消息，相对网内其他PC而言，该PC是无法登陆网络的了。

2.4 ARP病毒的故障现象

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，假如用户已经登陆了某些服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

3 ARP病毒的防御策略

3.1 机房局域网可采用IP与MAC绑定

在PC端上通过IP地址和MAC地址的绑定，在网络交换设备上采用IP和MAC的端口绑定。而ARP欺骗是通过ARP的动态实时的规则欺骗内网计算机，所以把ARP全部设置为静态可以解决对内网计算机的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样的双向绑定可以在一定程度上解决问题。

但是这两种方法也不能完全杜绝ARP欺骗，内网计算机上所设置的静态ARP项还是会被ARP欺骗所改变。而网络设备上只作IP和MAC地址的绑定，也是不安全的。假如同一层下的某台机器发送伪造的ARP reply给网关，但是源IP和源MAC地址都是欲攻击的那台主机的，还是会造成网络把流量送到欺骗者所连的那个物理端口，从而造成网络故障。

3.2 采用Super Vlan或Pvlan技术

Super VLAN也被叫做VLAN聚合，这种技术能够在同一个子网中生成出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。PVLAN即私有VLAN (Private VLAN）, PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机的每个端口划分成为一个子VLAN，就能够实现所有端口之间的隔离。

PVLAN和Super VLAN技术都能够实现端口之间的隔离，但实现的方式和出发点是不同的。PVLAN是为了节省VLAN，而Super Vlan则是为了节省IP地址。

3.3 使用软件

对于计算机不是很熟悉的老师和同学，最好使用软件来解决ARP中毒问题。推荐使用ARP防火墙和ARP卫士。ARP防火墙是基于IP地址和MAC地址的绑定，使用简单，适用于普通的ARP欺骗。如果用ARP防火墙依然不能解决问题的话，也可以使用ARP卫士，ARP卫士通过底层核心驱动能很好解决ARP欺骗、攻击问题。

4 结语

计算机病毒技术和反病毒技术都是呈现螺旋式发展的趋势，互为促进。没有任何一种反病毒技术手段可以使我们高枕无忧，而技术手段也仅仅只是一种方法。在对付计算机病毒最根本的方法仍然是预防为主，这就要靠一套行之有效的、严格的法律、法规和章程制度及措施来保障，其核心是人，要使用计算机文化来约束自己的行为，不要使用、传播非法的、来历不明的软件。

参考文献

[1]闫实等.高校校园ARP病毒欺骗原理及防御方法[J].网络安全技术与用, 2010, 06:48, 73.

[2]李振强.谈构建完善的校园网防范ARP攻击[J].硅谷, 2010, 7:65.

[3]于佳.浅谈ARP欺骗原理与防范[J].中国校外教育, 2010, 10:163.

[4]王玉伟, 沈国梁.浅议校园网中ARP攻击及其防护措施[J].科技信息, 2010, 17:60.

ARP病毒攻击技术分析与防御 篇8

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录 (条目) 的生存时间一般为60秒, 起始时间从被创建时开始算起。在命令提示符下, 输入“arp-a”就可以查看ARP缓存表中的内容;用“arp-d”命令可以删除ARP表中某一行的内容;用“arps”可以手动在ARP表中指定IP地址与MAC地址的对应。默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是DD-DD-DD-DD-DD-DD (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A可不知道被伪造了) 。当攻击源大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

二、ARP病毒现象

1. 网上银行、游戏及QQ账号的频繁丢失

一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登陆时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了游戏服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录游戏服务器, 这样病毒主机就可以盗号了。

2. 局域网内频繁性地区域或整体掉线, 重启计算机或网络设

备后恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。

3. 网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

三、防御方法

1. 使用可防御ARP攻击的三层交换机, 绑定端口MAC-IP, 限

制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

2. 查找病毒源, 对病毒源头的机器进行处理, 杀毒或重新安装系统。

解决了ARP攻击的源头PC机的问题, 可以保证内网免受攻击。

3. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。

此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。

4. 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括、等管理共享。

完全单机的用户也可直接关闭Server服务。

5. 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。

安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。

6. 给系统安装补丁程序, 通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。

摘要：本文详细分析了ARP协议以及实现ARP攻击的原理, 列举了ARP病毒的各种常见现象, 并给出了具体的防御方法。

关键词：ARP协议,ARP病毒,分析,防御

参考文献

[1]周增国:局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术, 2006, (11)

[2]陈英马洪涛:局域网内ARP协议攻击及解决办法[J].中国安全科学学报, 2007, (07)

[3]张道军吴银芳袁海峰:校园网络中ARP病毒的综合治理[J].网络安全技术与应用, 2007, (09)

ARP病毒攻击 篇9

1. 局域网中的ARP欺骗病毒

1.1 ARP欺骗病毒的症状

近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4 ARP欺骗病毒的工作原理

1.4.1 仿冒网关攻击病毒

这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。

当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。

1.4.2 欺骗网关攻击病毒

这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。

第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。

2. ARP欺骗病毒的防范方法

2.1 提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。

2.2 使用专业软件防护

使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。

2.3 上网客户端静态地址绑定

编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;

2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3. 结束语

局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。

摘要：近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。

关键词：ARP病毒,工作原理,预防方法,局域网

参考文献

[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.

[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66～67

ARP病毒攻击 篇10

1 ARP协议的工作原理

在局域网中, 一台主机要和其它主机进行通信, 需要知道目标主机的IP地址, 但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的, 只能识别其硬件地址即MAC地址。MAC地址是48位的, 通常表示为12个16进制数, 每2个16进制数之间用“-”或者冒号隔开, 如:00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址, 网卡之间发送数据, 只能根据对方网卡的MAC地址进行发送, 这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议, 而这个重要的任务将由ARP协议完成。

在基于TCP/IP协议的局域网中计算机都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。例如主机A (192.168.10.2) 向主机B (192.168.10.3) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.10.3的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.10.3的MAC地址是E2-5A-30-45-C2-5D”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

发送数据的主机在传输数据前, 首先要对初始数据进行封装, 在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段, 我们能够知道目的主机的IP地址, 而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内, 源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址, 以及目的主机的IP地址。当该报文通过广播方式到达目的主机时, 目的主机会响应该请求, 并返回ARP响应报文, 从而源主机可以获取目的主机的MAC地址, 同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内, 源主机发出的IP数据包会送到交换机的默认网关, 而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后, 主机会在缓存中保存IP地址和MAC地址的映射条目, 此后再进行数据交换时只要从缓存中读取映射条目即可。

2 ARP欺骗攻击的实现过程

上述数据的发送机制有一个致命的缺陷, 即它是建立在对局域网中计算机全部信任的基础上的, 也就是说它的假设前提是:无论局域网中的哪台计算机, 其发送的ARP数据包都是正确的。那么在实际复杂的网络环境中, 尤其是在有病毒发作的局域网中, 这种信任机制就会带来安全问题。ARP欺骗攻击就是攻击者 (携带病毒的计算机) 通过伪造IP地址和MAC地址实现ARP欺骗 (见图3) , 能够在网络中产生大量的ARP数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢, 实际上网络中存在较高的丢包率 (见图4) 。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。攻击者快速持续不断的发包, 淹没了网关 (路由器) 发出的正确ARP广播包, 最终使目标主机 (未携带病毒的计算机) 内的ARP缓存表中的IP-MAC条目保存了错误的映射信息, 找不到正确的网关, 引起目标主机网络中断。如果局域网中是通过身份认证上网的, 会突然出现能够通过认证, 但不能上网 (无法ping通网关) 的现象, 导致整个局域网的网络环境不稳定, 严重时能导致整个网络的瘫痪。

3 防治方法

鉴于以上的分析, 根据ARP协议的工作原理和ARP病毒攻击的特点, 本文在分析文献1, 2, 4, 5的基础上, 提出了一系列方法能够从不同层面上抵制攻击。

1) 在客户端使用arp命令绑定网关的真实MAC地址命令如下:

arp-d* (先清除错误的ARP表)

arp-s 192.168.1.1 mac地址 (静态指定网关的MAC地址)

2) 在交换机上做端口与MAC地址的静态绑定。这种方法需要接入层的交换机具有可管理功能, 否则需要更新交换机。该方法需要升级硬件, 成本较高。

3) 在路由器上做IP地址与MAC地址的静态绑定。路由器工作在TCP/IP协议栈的第三层, 完成路由选择的功能。一般交换机均支持绑定网络地址, 故该方法成本较低, 缺点是随着绑定列表的增加可以会影响路由的性能, 影响程度与硬件配置相关。

4) 设立“ARP SERVER”服务器, 按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表, 使局域网主机及时删除错误的ARP映射表。服务器的搭建可以采用专业硬件服务器, 也可发布在局域网的PC机上, 可以灵活选择。

5) 由于ARP病毒攻击不能跨网段进行, 可以将局域网划分VLAN, 同时需要兼顾可管理性和易用性。在不增加网络复杂性的前提下, 充分运用VLAN的划分手段, 将同一部门或权限相近的用户划分到同一个VLAN内, 弱化非法使用同网段IP地址所带来的利益。

6) 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作, 避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能, 可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为, 帮助网络管理员查找网络故障的根源。同时, 网络管理员还可以借助网管系统, 很方便的管理网络交换机, 针对个别问题突出的用户, 进行交换机端口绑定操作, 禁止其修改MAC地址。

7) 与应用层的身份认证相结合, 建立完整严密的多层次的安全认证体系, 弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似, 用户名和口令也属于容易盗用的资源, 建议有条件的单位采用指纹鼠标等先进的身份认证系统, 强化重要系统的安全强度。

8) 启用ARP防火墙

ARP防火墙可以拦截ARP攻击。具体来说包括:在系统内核层拦截外部虚假ARP数据包, 保障系统不受ARP欺骗、ARP攻击影响, 保持网络畅通及通讯安全;在系统内核层拦截本机对外的ARP攻击数据包, 以减少感染恶意程序后对外攻击给用户带来的麻烦。AntiArpSniffer是一款功能强大使用方便的arp防火墙。它有如下几个特色:开启安全模式后, 除了网关外, 不响应其它机器发送的ARP Request, 达到隐身效果, 减少用户计算机受到ARP攻击的概率;启用ARP数据分析, 可以分析本机接收到的所有ARP数据包, 有利于用户发现潜在的攻击者或中毒的机器;监测ARP缓存能够自动监测本机ARP缓存表, 如发现网关MAC地址被恶意程序篡改, 将报警并自动修复, 以保持网络畅通及通讯安全;主动防御能够主动与网关保持通讯, 通知网关正确的MAC地址, 以保持网络畅通及通讯安全。

这几种方法在实践中可以结合使用, 也可以根据实际的网络环境有选择的使用。在发现ARP病毒源之后要及时予以清除和隔离, 确保消除了安全隐患的情况下再允许其接入局域网中。

4 结束语

本文在分析ARP病毒攻击的原理和过程的基础上, 提出了几种有正对性的防治方法, 而且在实践中取得了良好的效果。网络安全依赖每一个用户的安全意识和实际的参与。面对ARP攻击对校园网的威胁, 不仅需要用户自身做好防范工作之外, 更需要网络管理员时刻保持高度警惕, 并不断跟踪防范欺骗类攻击的最新技术, 研究新方法, 做到防范于未然, 保障校园网的安全稳定, 为构建的信息化校园提供有力的支撑。

参考文献

[1]谭敏, 杨卫平.ARP病毒攻击与防范[J].网络安全技术与应用, 2008 (4) .

[2]刘舫.企业局域网感染ARP病毒的处理方法[J].科技情报开发与经济, 2007 (31) .

[3]曹磊.局域网中ARP的欺骗攻击[J].气象科技, 2007 (12) .

[4]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术, 2005 (5) :41-44.

[5]徐功文, 陈曙, 时研会.ARP协议攻击原理及其防范措施[J].网络与信息安全, 2005 (1) :4-6.